Cyberbedrohungen für Netze und IT/OT-Infrastrukturen werden immer unübersichtlicher. Dabei wächst in vernetzten Supply Chains der Druck, Security schnell und wirksam umzusetzen, nicht zuletzt durch Vorgaben der aktuellen Kritis-Regulierung und durch die neue EU-Richtlinie NIS2.
Was ist Zero Trust?
Bei herkömmlichen Security-Strategien geht es initial oft um Angriffsmöglichkeiten von außerhalb (Attack Surface = Angriffsfläche). Dementsprechend wird der Schutz von außen (z.B. durch eine äußere Firewall) nach innen diskutiert. Die innenliegenden Assets werden dabei meist zuletzt betrachtet, sie gelten als sicher. Unterstützt von Penetrationstests, E-Mail-Kampagnen und Co. werden Angriffe simuliert und Risikoanalysen durchgeführt. Eine solche Vorgehensweise birgt die Gefahr, dass man sich in der Vielzahl an Angriffsvarianten verliert. Letztendlich gibt es immer einen Weg ins Netzwerk hinein. Ein Zero-Trust-Ansatz dreht diese Herangehensweise um 180°. Hierbei liegt der Fokus explizit auf den einzelnen Netzwerkteilnehmern. Jedes einzelne Asset wird als unsicher und bedrohlich eingestuft. Man geht davon aus, dass Angreifer bereits im Netz sind. Zero Trust beginnt damit bei dem Protect Surface, der Schutzfläche jedes einzelnen Assets. Im Mittelpunkt stehen die Assets der kritischen Systeme und Prozesse, die für die Unternehmensergebnisse entscheidend sind. Zero Trust soll verhindern, dass sich Angreifer, die im Unternehmensnetz sind, ausbreiten können. Es kommt nicht zu einem Flächenbrand, weil es keinen Nährboden für eine ungehinderte Ausbreitung gibt.
Grundsätze einer Zero-Trust-Architektur
Die Grundsätze, auf denen auch eine Zero-Trust-Architektur basiert, sind altbekannt. Meist wird jedoch einfach nicht konsequent danach gehandelt:
Zugriffskontrollen: Der minimale Zugriff jedes Netzwerkteilnehmers (User, Asset) auf Daten und Anwendungen wird ermittelt und in technischen Regelwerken, wie im Firewalling, manifestiert und festgeschrieben.
Least Privilege & Need to know: Den Zugriff auf Daten und Systeme erhält nur, wer ihn wirklich braucht. Nutzer müssen sich für jeden einzelnen Zugriff authentifizieren und können nur im Rahmen definierter Regeln interagieren.
Verschlüsselte Kommunikation: Alle Datenströme im Netzwerk sind verschlüsselt. Im Kern steht meistens ein Identitätsmanagement, welches die authentifizierte Kommunikation zwischen einzelnen Assets, aber auch zwischen Anwender und Asset absichert.
Monitoring: Der Netzwerkverkehr wird permanent überwacht. Die erhobenen Daten werden fortlaufend verwendet, um die Einhaltung von Regelwerken und Standards zu kontrollieren.
Umsetzung in fünf Schritten
Die Umsetzung von Zero Trust fußt auf einer veränderten Perspektive: Das Security-Design konzentriert sich auf das Protect Surface der einzelnen Assets. Für die Umsetzung empfiehlt sich folgende Vorgehensweise:
1. Schutzfläche festlegen
Was muss mein einzelnes Asset können? Welche Personen müssen zugreifen? Welche anderen Dienste und Systeme muss es erreichen? Wie kritisch ist es für meinen Geschäftsprozess?
2. Abbilden der Transaktionsströme
Wie kommuniziert dieses Asset? Welche Anwendungen oder Protokolle sind erforderlich? Welche Funktionen führt das Asset im Netzwerk aus? Alle Daten- und Transaktionsströme werden erfasst.
3. Zero-Trust-Architektur aufbauen
Grundlegende Asset-Strategie festlegen. Assets mit identischen Anforderungen in Gruppen zusammenfassen. Schutzklassen pro Asset oder Asset-Gruppe einführen. Im Anschluss die entsprechenden Maßnahmen definieren.
4. Zero-Trust-Richtlinien erstellen
Definieren entsprechender Richtlinien in Form von Whitelisting auf den Endpunkten und Firewall-Regeln im Netzwerk. Idealerweise existiert eine Mikrosegmentierung pro Asset, unterstützt durch Host-Firewalls einer Endpoint-Protection-Lösung.
5. Überwachung des Netzwerks und Wartung
Anschluss der Systeme an ein zentrales Log-Management und ggfs. Implementierung einer Überwachung des Netzwerkverkehrs. Durch das Auswerten der Aktivitäten im Netz wird die Zero-Trust-Strategie fortlaufend geprüft und verfeinert.
Auch für windowsbasierte OT-Engineering-Stations gibt es praktikable Vorgehensweisen, z.B. die folgende: Der Ausgangspunkt ist die Bestimmung der Kritikalität und der Schutzmöglichkeiten. Dann geht es darum, Kommunikationskanäle zu identifizieren, z.B. auf Steuerungsnetzen, Anwendungen, mit Usern. Aktuelle Patch-Stände, Software, etc. maximieren das lokale Asset-Schutzlevel. Weitere Maßnahmen sind Endpoint Protection (z.B. nicht benötigte Dienste deaktivieren, Antivirus, Application Whitelisting) und eine Absicherung des Zugriffs der Anwender (z.B. Authentifizierung und Identitäten). Die Netzsegmentierung wird implementiert und der notwendige Kommunikationsfluss geschaltet. Schließlich steht das Monitoring der Kommunikation im Netzwerk und der Logs der Endpoint Protection an. Grundsätzlich geht es darum, die Funktion und die Kommunikation der Assets freizugeben, die wirklich notwendig sind. Im Anschluss sind diese Freigaben dann weiter zu sichern (z.B. durch Authentifizierung o.ä.).
Unterstützende Maßnahmen in der OT
Wichtig ist: Zero Trust ändert lediglich die Perspektive. Die gewählten Schutzmaßnahmen sind meist altbekannt! Zudem gibt es die eine Zero-Trust-Lösung nicht. Es ist immer eine Kombination an Maßnahmen, z.B. Endpoint Protection, Firewalling, Identitätsmanagement usw., die auf eine Zero-Trust-Strategie einzahlen. Der passende Ausgangspunkt zur Umsetzung einer Zero-Trust-Strategie in der Operational Technology (OT) ist oft das Einführen eines OT-Assetmanagements. Man kann bekanntlich nur schützen, was man kennt. Und dennoch gibt es meist Excel-basierte manuelle Datenerhebungen, deren Daten am Tag der Erhebung schon wieder veraltet sind. Ein OT-Asset-Management verwaltet OT-Assets über ihren gesamten Lebenszyklus hinweg. Es listet das tagesaktuelle Asset-Inventar auf und beinhaltet relevante Daten über Zustände, Versionen, Firmware-Stände, Konfigurationen sowie Abhängigkeiten. Moderne Asset-Management-Lösungen erheben diese Daten vollautomatisch und gleichen diese z.B. mit Security-Datenbanken ab. Auf diesem Weg lassen sich die Informationen zu den schützenswerten Assets identifizieren und Berechtigungen sowie Kommunikationsverhalten ermitteln. Diese dienen dazu, entsprechende Maßnahmen wie Endpoint Security, Gerätetausch, Firmware-Aktualisierung, Netzwerkschutz umzusetzen, so dass Kommunikation und Berechtigung deutlich reduziert werden können. Nicht zuletzt ist ein OT-Asset-Management die Grundlage für weitere Security-Maßnahmen (z.B. Netzwerkschutz), die nach einer Zero-Trust-Strategie von innen nach außen umgesetzt werden.
Fazit
Zero Trust ist eine Sicherheitsstrategie, die davon ausgeht, dass sich Angreifer bereits im Netz befinden und jedes Asset damit als kompromittiert angesehen werden muss. Deswegen wird der Schutz von innen nach außen konzipiert. Der Fokus liegt auf dem einzelnen Asset, den notwendigen Funktionen und der Kontrolle der Einhaltung definierter Regeln. Zero Trust bringt eine ruhigere Vorgehensweise in die Security-Umsetzung, weil es nicht mehr um eine Vielzahl möglicher Angriffsvarianten und unkalkulierbarer Möglichkeiten geht.
